Es un sistema de seleccion de paquetes formado por un sistema de tablas que permite definir reglas para seleccionar los paquetes.
tablas principales:
-filter:Filtrado de paquetes
-nat:Traduccion de direcciones de red
-mangle:Manipulacion general de paquetes
* Filter table (Tabla de filtros) — Esta tabla es la responsable del filtrado (es decir, de bloquear o permitir que un paquete continúe su camino). Todos los paquetes pasan a través de la tabla de filtros. Contiene las siguientes cadenas predefinidas y cualquier paquete pasará por una de ellas:
INPUT chain (Cadena de ENTRADA) — Todos los paquetes destinados a este sistema atraviesan esta cadena (y por esto se la llama algunas veces LOCAL_INPUT o ENTRADA_LOCAL)
OUTPUT chain (Cadena de SALIDA) — Todos los paquetes creados por este sistema atraviesan esta cadena (a la que también se la conoce como LOCAL_OUTPUT o SALIDA_LOCAL)
FORWARD chain (Cadena de REDIRECCIÓN) — Todos los paquetes que meramente pasan por este sistema (para ser ruteados) recorren esta cadena
* NAT table (Tabla de traducción de direcciones de red) — Esta tabla es la responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes. El primer paquete en cualquier conexión pasa a través de esta tabla; los veredictos determinan como van a reescribirse todos los paquetes de esa conexión. Contiene las siguientes cadenas redefinidas:
PREROUTING chain (Cadena de PRERUTEO) — Los paquetes entrantes pasan a través de esta cadena antes de que se consulte la tabla de ruteo local, principalmente para DNAT (destination-NAT o traducción de direcciones de red de destino)
POSTROUTING chain (Cadena de POSRUTEO) — Los paquetes salientes pasan por esta cadena después de haberse tomado la decisión del ruteo, principalmente para SNAT (source-NAT o traducción de direcciones de red de origen)
OUTPUT chain (Cadena de SALIDA) — Permite hacer un DNAT limitado en paquetes generados localmen
*MANGLE table (Tabla de destrozo) — Esta tabla es la responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio. Todos los paquetes pasan por esta tabla. Debido a que está diseñada para efectos avanzados, contiene todas las cadenas predefinidas posibles:
PREROUTING chain (Cadena de PRERUTEO) — Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado (cadena de REENVÍO) o si tiene destino local (cadena de ENTRADA)
INPUT chain (Cadena de ENTRADA) — Todos los paquetes destinados para este sistema pasan a través de esta cadena
FORWARD chain (Cadena de REDIRECCIÓN) — Todos los paquetes que exactamente pasan por este sistema pasan a través de esta cadena
OUTPUT chain (Cadena de SALIDA) — Todos los paquetes creados en este sistema pasan a través de esta cadena
POSTROUTING chain (Cadena de POSRUTEO) — Todos los paquetes que abandonan este sistema pasan a través de esta cadena
Destinos de reglas
El destino de una regla puede ser el nombre de una cadena definida por el usuario o uno de los destinos ya incorporados ACCEPT, DROP, QUEUE, o RETURN (aceptar, descartar, encolar o retornar, respectivamente).
*Existen los siguientes destinos ya incorporados:
ACCEPT (aceptar)
Este destino hace que netfilter acepte el paquete.
DROP (descartar)
Este destino hace que netfilter descarte el paquete sin ningún otro tipo de procesamiento.
QUEUE (encolar)
Este destino hace que el paquete sea enviado a una cola en el espacio de usuario.
RETURN (retorno)
Hace que el paquete en cuestión deje de circular por la cadena en cuya regla se ejecutó el destino
RETURN. Si dicha cadena es una subcadena de otra, el paquete continuará por la cadena superior como si nada hubiera pasado.
*Hay muchos destinos de extensión disponibles. Algunos de los más comunes son:
REJECT (rechazo)
Este destino tiene el mismo efecto que 'DROP', salvo que envía un paquete de error a quien envió originalmente.
LOG (bitácora)
Este destino lleva un log o bitácora del paquete. Puede usarse en cualquier cadena en cualquier tabla, y muchas veces se usa para debuggear (análisis de fallos, como ser la verificación de qué paquetes están siendo descartados).
ULOG
Este destino lleva un log o bitácora del paquete, pero no de la misma manera que el destino LOG. El destino LOG le envía información al log del núcleo, pero ULOG hace multidifusión de los paquetes que matchean esta regla a través de un socket netlink, de manera que programas del espacio de usuario puedan recibir este paquete conectándose al socket.
DNAT
Este destino hace que la dirección (y opcionalmente el puerto) de destino del paquete sean reescritos para traducción de dirección de red. Mediante la opción '--to-destination' debe indicarse el destino a usar.
SNAT
Este destino hace que la dirección (y opcionalmente el puerto) de origen del paquete sean reescritos para traducción de dirección de red. Mediante la opción '--to-source' debe indicarse el origen a usar.
MASQUERADE
Esta es una forma especial, restringida de SNAT para direcciones IP dinámicas, como las que proveen la mayoría de los proveedores de servicios de Internet (ISPs) para modems o línea de abonado digital (DSL).
jueves, 6 de marzo de 2008
IceWeasel y Firefox
IceWeasel: Es el nombre de dos proyectos independientes derivados de Mozilla Firefox. Uno es parte de Gnuzilla, un proyecto GNU para suministrar versiones de programas de Mozilla constituidos, en su totalidad, de software libre. El otro es una compilación renombrada, preparada por Debian, para resolver la demanda hecha por Mozilla que les obligaba a dejar de utilizar el nombre o acogerse a sus términos, los cuales son inaceptables dentro de las políticas de Debian
Concretamente, IceWeasel es el nombre elegido para sustituir a Firefox, una clara mofa hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro).
Mozilla Firefox: es un navegador de Internet, con interfaz gráfica de usuario desarrollado por la Corporación Mozilla (CoMo)y un gran número de voluntarios externos.
La historia, muy comprimida, es esta: En Febrero de este año, un representante de la Corporación Mozilla, el frente comercial de los creadores de Firefox, Thunderbird, le pidió a Debian que se asegurará de que cumpliera las reglas del uso de las marcas registradas de esos programas, en particular el nombre y los íconos oficiales, o dejar de crear paquetes con esos nombres. Después de una largísima discusión, Debian ha decidido la segunda opción, y en la nueva versión de Debian, Firefox pasará a ser “IceWeasel” y Thunderbird “IceDove”
En el caso de la disputa con la Corporación Mozilla (CoMo,COrporacion MOzilla), el problema no es tan simple, como se ha dicho. La CoMo le está pidiendo a Debian que use el logo y el nombre oficial, lo que va contra la GDSL (porque ni los logos ni el nombre se pueden modificar), pero eso no es todo. También quieren que todas las modificaciones que se hagan al código fuente original sean enviadas primero a Mozilla para que sean aprobadas. Esas modificaciones pueden ser bastante simples, como por ejemplo desactivar actualizaciones automáticas (que los usuarios de Debian recibimos a través de servidores de la distro) y un buscador automático para paquetes de Debian, hasta cosas más complicadas, como integración con el resto de la distribución.
He aquí, entonces, la situación. Y al parecer, estas eran las alternativas:
1. Mantener el logo y el nombre, pero mover los programas a la sección “no libre” de los servidores.
2. Convencer a la CoMo que cambie su política de uso del nombre y los logos (la CoMo pide que se usen ambos o ninguno)
3. Renombrar Firefox y dejar de usar los logos oficiales
Sí, tiene un profundo significado, Ice (Hielo) no es Fire (Fuego) y Weasel (Comadreja) no es Fox (Zorro)
“El problema con la distribución es que Mozilla tiene derechos de ‘trademark’(Trademark marca registrada) en su logo y productos así que no es posible distribuir un ‘Mozilla Firefox’ diferente sólo los binarios que puedas encontrar en su sitio.”
Cinco razones a favor de IceWeasel:
1. IceWeasel se adaptará mejor a los escritorios Debian y Ubuntu.
2. Es un Firefox mejorado en algunos temas de seguridad.
3. Es completamente libre (logotipo y nombre incluídos).
4. Es importante para el proyecto GNU.
5. ¡El nombre mola!
Cinco razones a favor de firefox:
1. Firefox tiene ya un reconocimiento público.
2. Firefox es un buen navegador ya.
3. Sólo se crea crispación y ruptura.
4. ¿No tiene GNU mejores cosas que hacer?
5. ¿IceWeasel? … ¡vaya un nombre!
Concretamente, IceWeasel es el nombre elegido para sustituir a Firefox, una clara mofa hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro).
Mozilla Firefox: es un navegador de Internet, con interfaz gráfica de usuario desarrollado por la Corporación Mozilla (CoMo)y un gran número de voluntarios externos.
La historia, muy comprimida, es esta: En Febrero de este año, un representante de la Corporación Mozilla, el frente comercial de los creadores de Firefox, Thunderbird, le pidió a Debian que se asegurará de que cumpliera las reglas del uso de las marcas registradas de esos programas, en particular el nombre y los íconos oficiales, o dejar de crear paquetes con esos nombres. Después de una largísima discusión, Debian ha decidido la segunda opción, y en la nueva versión de Debian, Firefox pasará a ser “IceWeasel” y Thunderbird “IceDove”
En el caso de la disputa con la Corporación Mozilla (CoMo,COrporacion MOzilla), el problema no es tan simple, como se ha dicho. La CoMo le está pidiendo a Debian que use el logo y el nombre oficial, lo que va contra la GDSL (porque ni los logos ni el nombre se pueden modificar), pero eso no es todo. También quieren que todas las modificaciones que se hagan al código fuente original sean enviadas primero a Mozilla para que sean aprobadas. Esas modificaciones pueden ser bastante simples, como por ejemplo desactivar actualizaciones automáticas (que los usuarios de Debian recibimos a través de servidores de la distro) y un buscador automático para paquetes de Debian, hasta cosas más complicadas, como integración con el resto de la distribución.
He aquí, entonces, la situación. Y al parecer, estas eran las alternativas:
1. Mantener el logo y el nombre, pero mover los programas a la sección “no libre” de los servidores.
2. Convencer a la CoMo que cambie su política de uso del nombre y los logos (la CoMo pide que se usen ambos o ninguno)
3. Renombrar Firefox y dejar de usar los logos oficiales
Sí, tiene un profundo significado, Ice (Hielo) no es Fire (Fuego) y Weasel (Comadreja) no es Fox (Zorro)
“El problema con la distribución es que Mozilla tiene derechos de ‘trademark’(Trademark marca registrada) en su logo y productos así que no es posible distribuir un ‘Mozilla Firefox’ diferente sólo los binarios que puedas encontrar en su sitio.”
Cinco razones a favor de IceWeasel:
1. IceWeasel se adaptará mejor a los escritorios Debian y Ubuntu.
2. Es un Firefox mejorado en algunos temas de seguridad.
3. Es completamente libre (logotipo y nombre incluídos).
4. Es importante para el proyecto GNU.
5. ¡El nombre mola!
Cinco razones a favor de firefox:
1. Firefox tiene ya un reconocimiento público.
2. Firefox es un buen navegador ya.
3. Sólo se crea crispación y ruptura.
4. ¿No tiene GNU mejores cosas que hacer?
5. ¿IceWeasel? … ¡vaya un nombre!
miércoles, 5 de marzo de 2008
Seguridad Perimetral
La seguridad perimetral basa una filosofia en la proteccion de todo el sistemainformatico de una empresa desde fuera, es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos,troyanos,ataques de denegacion de servicio, robo o destruccion de datos, hackeo de paginas web corporativas
La Evaluación Técnica de Seguridad Perimetral protege frontera entre la red interna de la organización y el resto de Internet. Permite valorar el grado de seguridad del sistema externo de la empresa y crea conciencia sobre el riesgo de la obtención de información que comprometa la privacidad de la empresa.
Quizás uno de los elementos más a la hora de establecer seguridad, son los firewall . Aunque deben ser uno de los sistemas a los que más se debe prestar atención. De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de gente adentro de la misma empresa (insider).
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
La Evaluación Técnica de Seguridad Perimetral protege frontera entre la red interna de la organización y el resto de Internet. Permite valorar el grado de seguridad del sistema externo de la empresa y crea conciencia sobre el riesgo de la obtención de información que comprometa la privacidad de la empresa.
Quizás uno de los elementos más a la hora de establecer seguridad, son los firewall . Aunque deben ser uno de los sistemas a los que más se debe prestar atención. De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de gente adentro de la misma empresa (insider).
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
Suscribirse a:
Entradas (Atom)